a) Handlung auf dokumentierte Weisung
Rz. 43
Gem. Art. 28 Abs. 3 S. 2 lit. a) DSGVO ist im Vertrag festzuhalten, dass der Auftragsverarbeiter die ihm überlassenen personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet.
Rz. 44
Die vertragliche Vereinbarung muss konkret festhalten, dass der Auftragnehmer die Daten nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers verarbeiten darf. Weiterhin ist ein entsprechendes Weisungsrecht des Auftraggebers/Verantwortlichen zu normieren und inhaltlich näher auszugestalten. Auch hier ist darauf zu achten, dass Weisungen grundsätzlich unverzüglich durch den Auftragnehmer umzusetzen sind und etwaige Zurückbehaltungsrechte sich nicht auf die tatsächliche Umsetzung einer, aus Sicht des Verantwortlichen erforderlichen, Weisung auswirken. Der Auftragsverarbeiter wird hierdurch nicht unangemessen benachteiligt, soweit man ihm – für den Fall, dass Störungen im Leistungsverhältnis bestehen – die Möglichkeit einräumt, die Auftragsverarbeitung seinerseits und unbeschadet der Wirksamkeit des Hauptvertrages ohne Angabe von Gründen jederzeit zu beenden. Ob sich die Beendigung der Auftragsverarbeitung als Verstoß gegen die Pflichten aus dem Hauptvertrag darstellt, kann dann – unabhängig vom eigentlichen Verarbeitungsprozess – entschieden werden. Die Verarbeitung selbst sollte jedoch durch Leistungsstörungen im Hauptvertrag nicht beeinträchtigt sein und/oder werden.
Rz. 45
Die Verpflichtung zur Befolgung von Weisungen muss sich auch auf den Ort der Verarbeitung beziehen. Der Auftragnehmer muss verpflichtet werden, Daten – ohne Weisung des Verantwortlichen – nicht an einem anderen Ort als dem ursprünglich vereinbarten zu vollziehen und Daten ohne konkrete Weisung des Verantwortlichen auch nicht an Dritte und/oder andere Orte zu übermitteln.
Rz. 46
Eine Ausnahme von der Pflicht zur Befolgung von Weisungen kann sich ergeben, wenn der Auftragsverarbeiter durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu einer Verarbeitung entgegen oder ohne Weisung des Verantwortlichen verpflichtet ist. Auch diese Ausnahme ist vertraglich festzuhalten, ebenso wie die hierauf bezogene Verpflichtung des Auftragsverarbeiters, dem Verantwortlichen die rechtlichen Anforderungen, aus denen sich eine Verpflichtung zur Verarbeitung ohne oder entgegen einer ausdrücklichen Weisung ergibt, mitzuteilen. Eine Mitteilungspflicht soll nur dann nicht bestehen, wenn eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses unterbleiben muss.
Rz. 47
Gemäß Art. 28 Abs. 3 S. 3 DSGVO müssen offensichtlich rechtswidrige Weisungen grundsätzlich nicht befolgt werden. In diesem Fall ergibt sich eine Hinweispflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen.
Rz. 48
Da jede Weisung des Verantwortlichen "dokumentiert" sein muss, muss der Vertrag auch Regelungen zur Sicherstellung der Dokumentationspflicht vorsehen. Die Verordnung selbst trifft keine Formvorgaben, so dass eine Weisung grundsätzlich auch "mündlich" erfolgen und auch durch ein entsprechendes Voice-File dokumentiert werden könnte. In der Regel bietet es sich jedoch an, den Verantwortlichen dazu zu verpflichten, mündlich erteilte Weisungen jedenfalls umgehend in Textform zu bestätigen. Eine Bestätigung kann umgekehrt ebenso in Textform durch den Auftragnehmer gegenüber dem Verantwortlichen erfolgen. Die vertragliche Vereinbarung muss Regelungen über die Form der Erteilung von Weisungen und/oder ihrer Bestätigung (=Dokumentation) enthalten.
b) Vertraulichkeits- oder gesetzliche Verschwiegenheitspflicht
Rz. 49
Gem. Art. 28 Abs. 3 S. 2 lit. b) DSGVO ist der Auftragnehmer gehalten, die innerhalb seines Unternehmens mit der Verarbeitung befassten und/oder betrauten natürlichen Personen zur Vertraulichkeit zu verpflichten. Der Auftragnehmer hat bei der Durchführung der ihm übertragenen der Arbeiten nur Personen einzusetzen, die sich ihm gegenüber vertraglich zur Vertraulichkeit verpflichtet haben oder ihrerseits einer gesetzlichen Verschwiegenheitspflicht unterliegen und vor Durchführung von Verarbeitungstätigkeiten über die für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
Rz. 50
Die Verpflichtung nach Art. 28 Abs. 3 S. 2 lit. b) DSGVO wird durch die in Art. 29 DSGVO normierte Verpflichtung zur Sicherstellung, dass die dem Auftragsverarbeiter unterstellten Personen, die Zugang zu personenbezogenen Daten haben, Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, ergänzt. Der Auftragnehmer hat sich also dazu zu verpflichten, entsprechende Weisungen des Verantwortlichen unmittelbar und unverfälscht auch an die ihm unterstellten natürlichen Personen weiterzugeben.
c) Ergreifen technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO
Rz. 51
Der Auftragsverarbeiter ist selbst Adressat der Verpflichtungen zur Herstellung der "Sicherheit der Verarbeitung" nach Art. 32 DSGVO. Dies ergibt sich – unabhängig der Erwähnung in Art. 28 Abs. 3 S. 2 lit. c) DSGVO – unmittelbar aus Art. 32 Abs. 1 DSGVO.
Rz. 52
Die vertragliche Verein...